Postfix-Mail und TLS

Hinweis: In dem Thema Postfix-Mail und TLS gibt es 8 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.

    Postfix-Mail wirt bei SUSE normalerweise mit YAST installiert. Ich habe zwei Rechner mit SUSE-Linux, der eine 11.3 und der andere 11.4.


    Bei beiden habe ich so weit ich sehen kann Postfix-Mail gleich installiert


    Network Services / Mail Server und dann


    - Standard
    - Permanent


    Outgoing mail server [securesmtp.t-online.de] use &TLS
    Authentication with
    - Outgoing Server: [securesmtp.t-online.de]
    - User name: somebody@t-online.de


    Auf die eine kriege in /var/log/mail:


    Code
    Jan 15 16:11:10 linux-mhid postfix/qmgr[4192]: 0826763529: from=<mats@linux-mhid.site>, size=797, nrcpt=1 (queue active)
Jan 15 16:11:10 linux-mhid postfix/smtp[6069]: 0826763529: to=<somebody@t-online.de>, relay=securesmtp.t-online.de[194.25.134.110]:25, delay=0.47, delays=0.2/0.07/0.18/0.03, dsn=5.7.0, status=bounced (host securesmtp.t-online.de[194.25.134.110] said: 530 5.7.0 Must issue a STARTTLS command first. (in reply to MAIL FROM command))
Jan 15 16:11:10 linux-mhid postfix/cleanup[6067]: 7896B6352A: message-id=<20160115151110.7896B6352A@linux-mhid.site>
Jan 15 16:11:10 linux-mhid postfix/bounce[6070]: 0826763529: sender non-delivery notification: 7896B6352A
Jan 15 16:11:10 linux-mhid postfix/qmgr[4192]: 7896B6352A: from=<>, size=2687, nrcpt=1 (queue active)
Jan 15 16:11:10 linux-mhid postfix/qmgr[4192]: 0826763529: removed
Jan 15 16:11:10 linux-mhid postfix/local[6071]: 7896B6352A: to=<mats@linux-mhid.site>, relay=local, delay=0.19, delays=0.06/0.04/0/0.09, dsn=2.0.0, status=sent (delivered to mailbox)
Jan 15 16:11:10 linux-mhid postfix/qmgr[4192]: 7896B6352A: removed


    Warum kein STARTTLS Kommando?


    Mit dem anderen Rechner funktioniert alles

    Code
    Jan 15 14:01:34 linux-7bll postfix/qmgr[2547]: 82951121C48: from=<mats@linux-7bll.site>, size=793, nrcpt=1 (queue active)
Jan 15 14:01:35 linux-7bll postfix/smtp[5189]: certificate verification failed for securesmtp.t-online.de[194.25.134.110]:25: untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
Jan 15 14:01:35 linux-7bll postfix/smtp[5189]: 82951121C48: to=<franziblitz@web.de>, relay=securesmtp.t-online.de[194.25.134.110]:25, delay=1.2, delays=0.2/0.19/0.64/0.17, dsn=2.0.0, status=sent (250 2.0.0 Message accepted. / Nachricht akzeptiert.)
Jan 15 14:01:35 linux-7bll postfix/qmgr[2547]: 82951121C48: removed


    Hier die Ergebnis von


    find / -name '*postfix*'




    Für den Inhalt des Beitrages 90314 haftet ausdrücklich der jeweilige Autor: stamcose

    Wenn man nur wüsste, was "der eine" Rechner ist, und was "der andere"!!!


    Und das Dateilisting ist schön, aber nutzlos.
    Interessant wäre der Inhalt aller Conffiles gewesen.


    Für die würde ich ein diff machen. Das kann schon sehr erhellend sein.


    Beide verwenden den Port 25/TCP.
    Der ist per RFC für unverschlüsselte Mails vorgesehen.
    Port 465/TCP wäre für SSL/TLS ( oder sogar für das veraltete SMTPS)


    Es gibt noch ein paar, die je nach Situation verwendet werden könnten, (z.B. 587/TCP ), was man aber bei den Telekomiker wohl ausschliessen kann.


    Jedenfalls lassen die meisten Provider auf 25/TCP auch SSL/TLS zu.
    Standard ist aber 25 unverschlüsselt.


    Man wird also postfix mitteilen müssen, dass man NUR SSL/TLS möchte.
    Und das steht offensichtlich in der entsprechenden Conf- Datei auf dem einen Rechner.
    Oder dem anderen.


    Und ich mag es nicht, wenn man mich anlügt. *pffff*
    Du meinst, der eine oder der andere Rechner würde tun?
    Was ist dann das hier, bitte:

    Zitat

    Mit dem anderen Rechner funktioniert alles

    Code
    Jan 15 14:01:35 linux-7bll postfix/smtp[5189]: certificate verification failed for securesmtp.t-online.de[194.25.134.110]:25: untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2

    ;)
    Ich denke, dass auch der eine oder der andere Rechner KEINE TLS Verbindung verwendet hat, sondern die Telekomiker als fallback dennoch unverschlüsseltes Senden zulassen.
    Mag so sein, mag auch nicht so sein.
    Jedenfalls akzeptiert dein postfix offensichtlich auch selbsterstellte Certs. (Zumindest deutet die Meldung darauf hin, dass die Telekomiker nicht von einer akzeptierten CA Certs verwenden.)
    Das solltest du auch unterbinden. Insbesondere, wenn das ein Mailserver sein sollte.



    Und es wäre schon interessant zu wissen, ob du das als vollwertigen Mailserver betreibst, oder postfix nur als MTA für schlichte Systemmails und Senden aus der Konsole verwendest.

    2 Mal editiert, zuletzt von LinuPia ()

    Für den Inhalt des Beitrages 90315 haftet ausdrücklich der jeweilige Autor: LinuPia

    Es scheint ein YAST-Problem bei SUSE 11.3 zu sein die bei SUSE 11.4 korrigiert wurde! Obwohl ich ein Haken fuer "USE TLS" in YAST fuer SUSE 11.3 setze kriege ich in


    /etc/postfix/main.cf


    Code
    smtp_use_tls = no


    Falls ich mit meinem Editor diese Konfigurations-Datei aendere in


    Code
    smtp_use_tls = yes


    funktioniert es tatsaechlich, Mail geht via

    Code
    securesmtp.t-online.de

    aus!


    Die Kunst war diese Konfigurations-Datei zu finden und ein "diff" zwischen die 11.3 und die 11.4 Version zu machen. Dies war der einzige wesentliche Unterschied!

    Für den Inhalt des Beitrages 90327 haftet ausdrücklich der jeweilige Autor: stamcose

    OT:
    Wie kommst du damit klar dass das System seit 2012 keine Sicherheitsaktualisierungen und Updates mehr bekommt?

    Äh die 11.4 war bis letztem Jahr Evergreen.


    Und ob das jetzt Suse oder openSUSE sind hat er/sie auch nicht so genau gesagt.


    Aber wenn es openSUSE Versionen sind, sollte da unbedingt ein Update gemacht werden, von den Mailservern möchte ich nicht unbedingt Mails bekommen.......

    Für den Inhalt des Beitrages 90347 haftet ausdrücklich der jeweilige Autor: Sauerland

    Ups , stimmt. Mea Culpa :)
    Aber mit allem anderen hast du recht.

    Ich benütze


    OS: Linux 2.6.34-12 desktopi686
    System: openSUSE 11.3(i586)


    Geht wunderbar ausser für diesen jetzt entdeckten YAST-Fehler bei "postfix"


    Welche Vorteile/Nachteile hat 11.3 in vergleich zu dem heutigen Release? Ist es möglicherweise so dass für jeden korrigierten Bug ein neuer dazukommt!


    "postfix" benütze ich zu Versenden von computer-generated individuelle Emails durch einen Shell-Script! Für einen Verein, nicht für SPAM!!

    Für den Inhalt des Beitrages 90354 haftet ausdrücklich der jeweilige Autor: stamcose

    Zitat von stamcose

    Welche Vorteile/Nachteile hat 11.3 in vergleich zu dem heutigen Release? Ist es möglicherweise so dass für jeden korrigierten Bug ein neuer dazukommt!


    Gute Frage. Zumindest war die 11.4, die du ja wohl nicht nutzt (wenn ich das richtig verstanden habe), Evergreen.
    Die 11.3 nicht. Somit hast du auch seit 2012 keine Sicherheits-Updates mehr erhalten.
    Welche Bedrohungen seit 2012 hinzu gekommen sind die in späteren Versionen geblockt wurden, müßte man recherchieren.
    Auf jeden Fall spreche ich dir viel Mut nicht ab.

    Das ist dann genauso aktuell wie Windows 95.
    Und genauso überholt.


    Selbst die letzten Sicherheitsupdates von z.B. ssh sind da nicht mehr hineingeflossen..........


    Auf gut deutsch:
    Das ist eine mittlerweile nicht mehr mit Updates versorgte Version, und das schon jahrelang.
    https://en.opensuse.org/Lifetime

    Einmal editiert, zuletzt von Sauerland ()

    Für den Inhalt des Beitrages 90356 haftet ausdrücklich der jeweilige Autor: Sauerland